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Организация защищенного документооборота является пред- 
метом данного исследования. Его цель — повышение надеж- 
ности передачи данных. Задача работы — построение надеж- 
ной модели организации защищенного документооборота с 
аутентификацией. Для решения указанной задачи применяется 
метод распределенной передачи данных, который позволяет за 
счет использования нескольких каналов значительно умень- 
шить вероятность несанкционированного доступа к информа- 
ции и возможности ее модификации. В качестве результата 
работы представлена модель организации защищенного доку- 
ментооборота на основе двухканального алгоритма шифрова- 
ния МУ2 и базовых шифров АЕ$ и КС4. Предусмотрена за- 
мена базовых шифров и учтена потребность использования 
ассоциированных данных, которые должны оставаться откры- 
тыми, но быть аутентифицированными вместе с основной 
зашифрованной информацией. Построенная модель решает 
поставленную задачу, а программная реализация, разработан- 
ная на языке С++ с использованием библиотеки МТГ, может 
быть применена на практике. Область применения получен- 
ных результатов — защита коммерческого документооборота. 


Ключевые слова: электронный документооборот, конфиден- 
циальность информации, целостность, аутентификация, рас- 
пределенная защита, ассоциированные данные. 


Введение и постановка задачи. В настоящее время система электронного документооборота получила широкое рас- 
пространение, стремительно увеличивается объем соответствующих документов [1]. Очевидно, что растет необходи- 
мость в обеспечении их защиты, контроле их целостности. Для достижения указанных целей применяются различные 
криптографические методы, которые позволяют обеспечивать конфиденциальность обрабатываемых данных, а также 
осуществлять проверку их целостности, т. е. отслеживать факт случайного искажения или несанкционированной мо- 


дификации [2]. 
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Для проверки целостности используются методы аутентификации. Следует отметить, что аутентификация ак- 
туальна не только для зашифрованных текстов, но и для открытых данных, называемых ассоциированными. Напри- 
мер, для заголовков сетевых пакетов, которые должны быть не зашифрованы, но аутентифицированы с передаваемой 
зашифрованной полезной нагрузкой [3—5]. С этой целью применяются методы передачи по распределенным закрытым 
или частично закрытым сетям. Поэтому особый интерес представляют методы многоканальной криптографии, ис- 
пользование которых позволяет разбивать защищаемую информацию на несколько частей [6-11]. Очевидно, что при 
отсутствии одной из частей восстановление, анализ или модификация данных невозможны. Таким образом, обеспечи- 
вается более высокий уровень защиты данных. 

Итак, научный и практический интерес представляют методы распределенной передачи данных, позволяю- 
щие одновременно шифровать и аутентифицировать как зашифрованные, так и ассоциированные данные. В связи с 
этим актуальной задачей является создание простой, надежной и эффективной модели организации защищенного до- 
кументооборота с аутентификацией. В представленной статье описана такая модель, основанная на схеме двухканаль- 
ного шифрования МУ 2. 

Необходимые сведения о схеме двухканального шифрования МУ 2. Схема двухканального шифрования МУ 2 
разработана в [7-8]. 

Рассмотрим алгоритм зашифрования, представленный на рис. 1. В алгоритме используется ключ, длина кото- 


рого может равняться 128, 256, 512 или 1024 битов. 
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Рис. 1. Схема зашифрования алгоритма МУ 2 


Изначально данные, которые требуется зашифровать, подаются в блок «И» (исходный текст). Из этого блока 
они поступают в блок «З» (забеливание), где происходит преобразование данных — их начальная рандомизация. Для 
забеливания к исходному тексту применяется поточный шифр, что позволяет разрушить статистические зависимости 
в тексте. В качестве такого шифра используется КС4 [6]. Отметим, что при необходимости КС4 может быть заменен 
другим потоковым шифром с близкими параметрами. 

Забеленный текст поступает на вход основного процесса (ОП) шифрования, состоящего из нескольких раун- 
дов. Всего выполняется № раундов преобразований. В каждом раунде входные данные подвергаются преобразова- 
нию: перестановочному (блок «ШИ») и подстановочному МУ 2 (блок «ПП2»). В качестве перестановочного преобра- 
зования в модели используется алгоритм АЕЗ [12], который может быть заменен на другой блочный шифр с анало- 
гичными характеристиками. Подстановочное преобразование осуществляется с использованием специальных подста- 
новочных таблиц МУ 2-преобразований, которые заменяют строки исходного текста фиксированной длины парой 


строк переменной меньшей длины [7]. При зашифровании остаток С, полученный на выходе блока «12», отправля- 
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ется на вход следующего раунда преобразований в блок «ШИ». При этом с каждым раундом дополнительная инфор- 
мация, необходимая для обеспечения обратимости МУ 2-преобразований (флаг), накапливается в РЕ. Остаток С, полу- 
ченный на последнем раунде преобразований, называется информационным ядром. Пара шифртекстов С и Г образуют 
выход алгоритма зашифрования. 

Таким образом, алгоритм зашифрования обеспечивает разбиение входной конфиденциальной информации на 
две части — С и/, которые подаются на вход двух открытых каналов. При расшифровании две части зашифрованно- 
го текста проходят №" раундов обратных преобразований основного процесса (ОП). После этого снимается забелива- 
ние и тем самым восстанавливаются исходные данные. 

Модель защищенного документооборота с аутентификацией. В разработанной модели зашифрованные дан- 
ные передаются по двум каналам связи. При этом наряду с зашифрованием исходных данных осуществляется также и 


одновременная их аутентификация (рис. 2). 
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Рис. 2. Общая схема модели 


Рассмотрим представленную схему более детально. На вход алгоритма зашифрования с аутентификацией по- 
ступают данные трех типов: 
— х — данные для зашифрования и аутентификации; 
— М — уникальный вектор из п битов, называемый нонсом, который используется один раз в течение жизни ключа; 


— Н — ассоциированные данные. 

Кроме того, на вход алгоритма от генератора ключей поступают также следующие величины: 

— А, — ключ длины п для алгоритмов зашифрования/расшифрования, 
— А›— ключ длины п для алгоритма аутентификации. 

Данные, полученные на выходе алгоритма зашифрования с аутентификацией, отправляются по двум каналам. 
По первому каналу пересылается первый шифртекст С (остаток) и тег аутентификации Таз, а по второму каналу — 
второй шифртекст Ё` (флаги). Алгоритм расшифрования с аутентификацией расшифровывает пришедшие по каналам 
шифртексты Си РЁ. По расшифрованным данным вычисляется тег аутентификации. Аутентификация считается прой- 
денной, если пришедший по каналу вместе с шифртекстами тег аутентификации совпадает с тегом, полученным после 
работы алгоритма расшифрования. При этом на выходе алгоритма расшифрования с аутентификацией будут получе- 
ны исходные данные х. В противном случае в качестве результата выдается сообщение об ошибке. 

Теперь рассмотрим подробнее работу входящих в схему алгоритмов зашифрования и расшифрования. Разде- 
ление на два канала осуществляется с помощью МУ? ( рис. 1). В МУ2 проводится несколько раундов преобразова- 
ний. Поэтому в построенном алгоритме зашифрования с аутентификацией также выполняется несколько раундов. 
Следовательно, достаточно рассмотреть работу одного раунда (рис. 3), которая делится на две части — зашифрование 


(левая часть схемы) и аутентификация (правая часть). 
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Рис. 3. Схема зашифрования с аутентификацией для ]-го раунда 


Перед началом зашифрования из п-битного ключа А, генерируется 32 вспомогательных ключа по 256 байтов. 
Предположим, что и = 128. Эти ключи представляют собой 32 таблицы подстановочного преобразования [7]. В начале 
каждого раунда алгоритма МУ 2 случайным образом происходит выбор номера таблицы. Обозначим через №, номер 
таблицы МУ 2-преобразования на ]-м раунде: 

ДЕ, №7, 
где №" — число раундов алгоритма МУ 2. 

Поступающее на вход раунда зашифрования сообщение С ‚_, разбивается на блоки, размер которых равен И 
битов. Если размер последнего блока меньше п, он дополняется до п битов. Для первого раунда Су = х. Нонс М изна- 
чально зашифровывается с помощью псевдослучайной функции на ключе Ку: 

с", = РВЕ, (М). 
Из полученного значения с!" ; вычисляется набор счетчиков: 
ст; = РЕРь/ (Си +11), 

где [2, т). 

Счетчики суммируются по модулю 2 с зашифровываемым на данном раунде текстом С;_ 1: 

5 = с": + См, 

где С; „— Ёй блок С;_.. 

Для получения остатка и флага на ]-м раунде к 5; алгоритм МУ 2 применяется следующим образом: 

(&ь Л) = МИ 2Епсь 1 (5), 

где с; и} — соответственно остаток и флаг для 1-го блока сообщения С,_ 1. 

Остаток на /-м раунде С; получается путем битовой конкатенации значений с, а флаг Ё; — с помощью бито- 
вой конкатенации флагов}, ГЕ [1, т}, где т; — число и-битных блоков в С,_/. Остаток С; отправляется на вход сле- 
дующего раунда для последующего сжатия, а флаги Е;с каждого раунда накапливаются. В итоге после № раундов 
преобразований получается пара 

С = Су, Е=Еу,... Е 

На этом этапе завершается зашифрование данных. 

Проверка целостности осуществляется с помощью кодов аутентификации сообщения. При выработке тега 
аутентификации для /-го раунда используется режим работы СВС некоторого блочного шифра [13]. На основе этого 
режима строится последовательность действий, в которой каждый новый зашифрованный блок зависит от результата 
зашифрования предыдущего. Такая связь дает возможность получить тег аутентификации сообщения, поскольку из- 
менение даже одного бита открытого текста влечет за собой непредсказуемое изменение выходного зашифрованного 
блока. В качестве блочного шифра для выработки тега аутентификации выбран блочный шифр АЕ$З [12]. 

Опишем процесс получения тега. До начала применения АЕЗ необходимо произвести следующие вычисле- 
ния. Положим 4 = |Н| / № и вычислим 

а ЕН 
где 0' означает, что /-й бит строки ИН равен 0; Н*— К-й бит Н; р — сумма номеров таблиц МУ 2-преобразований, вы- 


бранных для ] раундов. 
Рассмотрим /-й раунд работы схемы. Значение Т, = Си’ ФИ’ служит начальным значением счетчика для 
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Т, = Е 2 (Т,_, @ 5: в, 1Е [2, ту, 
где Ех › — алгоритм зашифрования АЕЗ на ключе ^.. 
Вычисляются 
Х, = М, - 2х; (то4 256), 
где №Е [0, 31], { м, — №,-й символ в №,-й таблице МУ 2-преобразования 
и раундовый тег 
Тав; = (Ти, Ху, 
где т означает циклический сдвиг Г, на 4 бита вправо, когда Х. четное, и аналогичный сдвиг влево, когда Х, нечетное. 

После выполнения № раундов результирующий тег Тае вычисляется путем сложения по модулю 2 всех ра- 
ундовых тегов: 

Таз = Таз, @ Таз> Ф... @ Таех,. 

Таким образом, выход схемы шифрования с аутентификацией является тройкой (С, А, Таз). По одному каналу 
отправляется пара (С, Таз), по другому — Е. 

Алгоритм расшифрования с аутентификацией для проверки аутентичности сообщения сначала расшифровы- 
вает пришедшие по каналу шифртексты С и А. Затем с помощью расшифрованных значений на каждом раунде по та- 
кому же принципу, как в схеме шифрования с аутентификацией, вычисляет раундовые теги, а затем, после выполне- 
ния всех раундов вычисляет результирующий тег. Если пришедший по каналу тег аутентификации совпадает с тегом, 
вычисленным после расшифровки шифртекстов, то проверка целостности выполнена, и выходом алгоритма расшиф- 
рования с аутентификацией является исходный текст х. Если же теги не совпали, то алгоритм выдает сообщение об 
ошибке. 

Описанная выше модель программно реализована на языке С++ с использованием библиотеки МТГ [14]. При- 
ведем пример входных и выходных данных, полученных в результате работы программы. 

Входные данные: открытый текст Х, нонс №, ассоциированные данные Н, ключи К; и А›: 

Х = Шогасло дневное светило; 

На море синее вечерний пал туман. 

Шуми, шуми, послушное ветрило, 

Волнуйся подо мной, угрюмый океан.] 

М =[0х11, 0хО1, 0х22, 0х13, 0х04, 0х67, 0х06, 0х17, 0х08, 0х29, ОхОа, 0х61, Ох1с, 0х04, 0х0е, 0х0/]; 

Н = [0х75, 0х11, 0х02, 0х03, 0х07, 0х20, 0х0б6, 0х16, 0х18, 0х09, Ох0а, ОхОБ, 0хОс, 0х23, 0х1, 0х11]; 

К, = [0х9е, 0х47, ОХЗ1, 0хс5, 0х49, Ох#Е, 0х58, 0х41, ОХЗЕ, 0х74, 0х89, 0хеЗ, 0х11, 0х®, 0х89, 0х13]; 

К = [0х15, 0х11, 0х42, 0х30, 0х44, 0х05, 0х0б, 0х07, 0х27, 0х19, Ох2а, 0хОБ, 0х0с, 0х04, 0х0е, 0х11]. 
Выходные данные: шифртексты С и А, тег аутентификации Таз: 

С = [+$\ДУЗЖ-ТРизЕба{Л@-НЕ—33шэ*0©| ВУ) 

{21$ /} $ ньМНиВНе-9+У6М-\УРА ти! ‘С-+#ю3ЗКзиФКя`Ц]; 

Е= [АБ-©\У/ аВ-АеОВМ*КСэаЖЬНо[К"па]; 

Таз = [“Цуму\ОЪМ7ОИОШМ№]. 

Заключение. Для организации защищенного документооборота построена модель, обеспечивающая конфиденциаль- 

ность и целостность обрабатываемых данных. Модель основана на принципах распределенной передачи данных и 

использования дополнительных ассоциированных данных. Представленная модель программно реализована на языке 

С++ с использованием библиотеки МТГ.. Приведены результаты работы программы для тестовых входных данных. 
Авторы выражают искреннюю признательность А. Э. Маевскому за полезное обсуждение постановки задачи. 
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